Contrôlez l'accès en fonction des attributs d'une identité avec des autorisations vérifiées - APIPasserelle Amazon
Création d'un autorisateur Lambda à l'aide d'autorisations vérifiéesAppelez un autorisateur Lambda à l'aide des autorisations vérifiées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contrôlez l'accès en fonction des attributs d'une identité avec des autorisations vérifiées

Utilisez les autorisations vérifiées d'Amazon pour contrôler l'accès à votre API passerelleAPI. Lorsque vous utilisez API Gateway avec autorisations vérifiées, Verified Permissions crée un autorisateur Lambda qui utilise des décisions d'autorisation précises pour contrôler l'accès à votre. API Verified Permissions autorise les appelants sur la base d'un schéma de magasin de politiques et de politiques utilisant le langage de politique Cedar pour définir des autorisations détaillées pour les utilisateurs de l'application. Pour plus d'informations, consultez la section Créer un magasin de polices avec un fournisseur connecté API et un fournisseur d'identité dans le guide de l'utilisateur Amazon Verified Permissions.

Verified Permissions prend en charge les groupes d'utilisateurs Amazon Cognito ou les fournisseurs d'identité OpenID Connect (OIDC) en tant que sources d'identité. Les autorisations vérifiées supposent que le principal a déjà été identifié et authentifié. Les autorisations vérifiées ne sont prises en charge que pour les applications régionales et optimisées pour les périphériques. REST APIs

Création d'un autorisateur Lambda à l'aide d'autorisations vérifiées

Verified Permissions crée un autorisateur Lambda pour déterminer si un principal est autorisé à effectuer une action sur votre. API Vous créez la politique Cedar que Verified Permissions utilise pour effectuer ses tâches d'autorisation.

Voici un exemple de politique Cedar qui autorise l'accès à invoquer un groupe API basé sur le groupe d'utilisateurs Amazon Cognito, us-east-1_ABC1234 pour le developer groupe sur la GET /users ressource d'un. API Les autorisations vérifiées déterminent l'appartenance au groupe en analysant le jeton porteur pour identifier l'appelant. 

permit(
  principal in MyAPI::UserGroup::"us-east-1_ABC1234|developer",
  action in [ MyAPI::Action::"get /users" ],
  resource
  );

En option, les autorisations vérifiées peuvent associer l'autorisateur aux méthodes de votreAPI. Lors des étapes de production de votre API produit, nous vous recommandons de ne pas autoriser Verified Permissions à joindre l'autorisateur à votre place.

La liste suivante indique comment configurer les autorisations vérifiées pour associer ou non l'autorisateur Lambda à la demande de méthode de vos API méthodes.

Joignez l'autorisateur pour vous ()AWS Management Console

Lorsque vous choisissez Create Policy Store dans la console Verified Permissions, sur la page d'intégration de l'application Deploy, sélectionnez Now.

Ne joignez pas l'autorisateur pour vous ()AWS Management Console

Lorsque vous choisissez Create Policy Store dans la console Verified Permissions, sur la page d'intégration de l'application Deploy, sélectionnez Later.

Verified Permissions crée toujours un autorisateur Lambda pour vous. L'autorisateur Lambda commence par. AVPAuthorizerLambda- Pour plus d'instructions sur la façon d'associer votre autorisateur à une méthode, consultezConfigurer une méthode pour utiliser un autorisateur Lambda (console).

Joignez l'autorisateur pour vous ()AWS CloudFormation

Dans le AWS CloudFormation modèle généré par les autorisations vérifiées, dans la Conditions section, définissez sur. "Ref": "shouldAttachAuthorizer" true

Ne joignez pas l'autorisateur pour vous ()AWS CloudFormation

Dans le AWS CloudFormation modèle généré par les autorisations vérifiées, dans la Conditions section, définissez sur. "Ref": "shouldAttachAuthorizer" false

Verified Permissions crée toujours un autorisateur Lambda pour vous. L'autorisateur Lambda commence par. AVPAuthorizerLambda- Pour plus d'instructions sur la façon d'associer votre autorisateur à une méthode, consultezConfigurer une méthode pour utiliser un autorisateur Lambda ()AWS CLI.

Appelez un autorisateur Lambda à l'aide des autorisations vérifiées

Vous pouvez appeler votre autorisateur Lambda en fournissant une identité ou un jeton d'accès dans l'en-tête. Authorization Pour de plus amples informations, veuillez consulter Appelez un API avec un autorisateur API Gateway Lambda.

APIGateway met en cache la politique renvoyée par votre autorisateur Lambda pendant 120 secondes. Vous pouvez modifier le TTL dans la console API Gateway ou en utilisant le AWS CLI.